Постановление правительства РФ 1119

Постановление Правительства РФ от 01.11.2012 N 1119
«Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ

ПОСТАНОВЛЕНИЕ

от 1 ноября 2012 г. N 1119

ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ

К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ

В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ

В соответствии со статьей 19 Федерального закона «О персональных данных» Правительство Российской Федерации постановляет:

1. Утвердить прилагаемые требования к защите персональных данных при их обработке в информационных системах персональных данных.

2. Признать утратившим силу постановление Правительства Российской Федерации от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (Собрание законодательства Российской Федерации, 2007, N 48, ст. 6001).

Председатель Правительства

Российской Федерации

Д.МЕДВЕДЕВ

Утверждены

постановлением Правительства

Российской Федерации

от 1 ноября 2012 г. N 1119

ТРЕБОВАНИЯ

К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ

В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Настоящий документ устанавливает требования к защите персональных данных при их обработке в информационных системах персональных данных (далее — информационные системы) и уровни защищенности таких данных.

2. Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона «О персональных данных».

Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.

3. Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные (далее — оператор), или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора (далее — уполномоченное лицо). Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе.

4. Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона «О персональных данных».

5. Информационная система является информационной системой, обрабатывающей специальные категории персональных данных, если в ней обрабатываются персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных.

Информационная система является информационной системой, обрабатывающей биометрические персональные данные, если в ней обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, и не обрабатываются сведения, относящиеся к специальным категориям персональных данных.

Информационная система является информационной системой, обрабатывающей общедоступные персональные данные, если в ней обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона «О персональных данных».

Информационная система является информационной системой, обрабатывающей иные категории персональных данных, если в ней не обрабатываются персональные данные, указанные в абзацах первом — третьем настоящего пункта.

Информационная система является информационной системой, обрабатывающей персональные данные сотрудников оператора, если в ней обрабатываются персональные данные только указанных сотрудников. В остальных случаях информационная система персональных данных является информационной системой, обрабатывающей персональные данные субъектов персональных данных, не являющихся сотрудниками оператора.

6. Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.

Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.

Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.

Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.

7. Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона «О персональных данных», и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона «О персональных данных».

8. При обработке персональных данных в информационных системах устанавливаются 4 уровня защищенности персональных данных.

9. Необходимость обеспечения 1-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:

а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает либо специальные категории персональных данных, либо биометрические персональные данные, либо иные категории персональных данных;

б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.

10. Необходимость обеспечения 2-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:

а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает общедоступные персональные данные;

б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

в) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает биометрические персональные данные;

г) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

д) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

е) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.

11. Необходимость обеспечения 3-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:

а) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные сотрудников оператора или общедоступные персональные данные менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

в) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

г) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает биометрические персональные данные;

д) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.

12. Необходимость обеспечения 4-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:

а) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает общедоступные персональные данные;

б) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.

13. Для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:

а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

б) обеспечение сохранности носителей персональных данных;

в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;

г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

14. Для обеспечения 3-го уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных пунктом 13 настоящего документа, необходимо, чтобы было назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационной системе.

15. Для обеспечения 2-го уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных пунктом 14 настоящего документа, необходимо, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.

16. Для обеспечения 1-го уровня защищенности персональных данных при их обработке в информационных системах помимо требований, предусмотренных пунктом 15 настоящего документа, необходимо выполнение следующих требований:

а) автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе;

б) создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности.

17. Контроль за выполнением настоящих требований организуется и проводится оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанный контроль проводится не реже 1 раза в 3 года в сроки, определяемые оператором (уполномоченным лицом).

Судебная практика и законодательство — Постановление Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

Приказ МВД России от 10.04.2017 N 191 «О порядке эксплуатации унифицированной внутриведомственной информационной системы по обработке электронных заявлений и иных документов, необходимых для предоставления государственных услуг» (вместе с «Инструкцией по эксплуатации унифицированной внутриведомственной информационной системы по обработке электронных заявлений и иных документов, необходимых для предоставления государственных услуг»)

<2> Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (Собрание законодательства Российской Федерации, 2012, N 45, ст. 6257).

Приказ СК России от 11.01.2017 N 10 «Об обработке персональных данных сотрудников, федеральных государственных гражданских служащих, работников Следственного комитета Российской Федерации, кандидатов на государственную службу (работу) в системе Следственного комитета Российской Федерации» (вместе с «Правилами обработки персональных данных сотрудников, федеральных государственных гражданских служащих, работников Следственного комитета Российской Федерации, кандидатов на государственную службу (работу) в системе Следственного комитета Российской Федерации») (Зарегистрировано в Минюсте России 10.05.2017 N 46646)

150. Требуемый уровень защищенности персональных данных при их обработке в информационных системах персональных данных устанавливается в соответствии с требованиями о защите информации, определяемыми в соответствии с частью 5 статьи 16 Федерального закона от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации» <15>, а также требованиями к защите персональных данных, утвержденными постановлением Правительства Российской Федерации от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» <16> (далее — постановление Правительства Российской Федерации от 01.11.2012 N 1119).

Приказ Минтруда России от 07.03.2017 N 249н Об утверждении Административного регламента предоставления Пенсионным фондом Российской Федерации государственной услуги по предоставлению компенсации расходов на оплату стоимости проезда к месту отдыха на территории Российской Федерации и обратно пенсионерам, являющимся получателями страховых пенсий по старости и по инвалидности и проживающим в районах Крайнего Севера и приравненных к ним местностях

постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (Собрание законодательства Российской Федерации, 2012, N 45, ст. 6257);

Приказ Минтруда России от 02.03.2017 N 230н Об утверждении Административного регламента предоставления Пенсионным фондом Российской Федерации государственной услуги по приему от граждан анкет в целях регистрации в системе обязательного пенсионного страхования, в том числе по приему от застрахованных лиц заявлений об обмене или о выдаче дубликата страхового свидетельства

постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (Собрание законодательства Российской Федерации, 2012, N 45, ст. 6257);

Приказ Минкомсвязи России от 01.12.2016 N 607 Об утверждении Правил определения места нахождения пользовательского оборудования (оконечного оборудования), с которого были осуществлены вызов или передача сообщения о происшествии по единому номеру вызова экстренных оперативных служб «112», и Порядка предоставления и объема информации, необходимой для обеспечения реагирования по вызову или сообщению о происшествии по единому номеру вызова экстренных оперативных служб «112

14. Защита информации, предоставляемой операторами связи в центр обработки вызовов Системы-112 (далее — ЦОВ-112), в пределах объектов автоматизации деятельности Системы-112 обеспечивается лицом, на которое актом органа государственной власти субъекта Российской Федерации возложены функции по созданию, развитию и эксплуатации Системы-112 в соответствующем субъекте Российской Федерации (далее — эксплуатирующая организация Системы-112 субъекта Российской Федерации). Система-112 классифицируется как специальная распределенная информационная многопользовательская система класса К1 с разграничением прав доступа с доступом к сети связи общего пользования и в соответствии с постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (Собрание законодательства Российской Федерации, 2012, N 45, ст. 6257) классифицируется как информационная система персональных данных с первым уровнем защищенности. Учитывая, что Система-112 классифицируется как автоматизированная система класса 1Г и специальная информационная система персональных данных класса К1, криптографические средства защиты информации, используемые для защиты конфиденциальных и иных охраняемых в соответствии с законодательством Российской Федерации сведений, в том числе персональных данных, обрабатываемых при взаимодействии Системы-112 с информационными системами операторов связи, должны обеспечивать криптографическую защиту по уровню не ниже уровня КС3.

Приказ Минтруда России от 17.01.2017 N 43н Об утверждении Административного регламента предоставления Пенсионным фондом Российской Федерации государственной услуги по приему от застрахованных лиц заявлений о добровольном вступлении в правоотношения по обязательному пенсионному страхованию в целях уплаты дополнительных страховых взносов на накопительную пенсию в соответствии с Федеральным законом от 30 апреля 2008 г. N 56-ФЗ «О дополнительных страховых взносах на накопительную пенсию и государственной поддержке формирования пенсионных накоплений

постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (Собрание законодательства Российской Федерации, 2012, N 45, ст. 6257);

Приказ Минтруда России от 16.01.2017 N 38н Об утверждении Административного регламента предоставления Пенсионным фондом Российской Федерации государственной услуги по информированию застрахованных лиц о состоянии их индивидуальных лицевых счетов в системе обязательного пенсионного страхования согласно федеральным законам «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» и «Об инвестировании средств для финансирования накопительной пенсии в Российской Федерации

постановления Правительства Российской Федерации от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (Собрание законодательства Российской Федерации, 2012, N 45, ст. 6257);

Приказ Россвязи от 22.11.2016 N 255 «Об обработке персональных данных в Федеральном агентстве связи» (вместе с «Правилами обработки персональных данных в Федеральном агентстве связи», «Правилами рассмотрения запросов субъектов персональных данных или их представителей в Федеральном агентстве связи», «Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным федеральным законом от 27 июля 2006 г. N 152 «О персональных данных», «Правилами работы с обезличенными данными в случае обезличивания персональных данных в Федеральном агентстве связи», «Порядком доступа государственных гражданских служащих федерального агентства связи в помещения, в которых ведется обработка персональных данных») (Зарегистрировано в Минюсте России 08.02.2017 N 45565)

постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (Собрание законодательства Российской Федерации, 2012, N 45, ст. 6257);

Приказ Минтруда России от 03.08.2016 N 419н Об утверждении Административного регламента предоставления Пенсионным фондом Российской Федерации государственной услуги по приему, рассмотрению заявлений (уведомления) застрахованных лиц в целях реализации ими прав при формировании и инвестировании средств пенсионных накоплений и принятию решений по ним

постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (Собрание законодательства Российской Федерации, 2012, N 45, ст. 6257);

1 шаг вперед, 3 шага назад. Вышло ПП1119 про требования к защите ПДн

Дождались, документ Постановление Правительства РФ от 01.11.2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» вышел. Я намеренно не писал ничего про первую версию документа (точнее 2х документов), хотел посмотреть какие изменения внесут в итоговый вариант.

Документ в очередной раз «колбасит» системы и процедуры защиты ПДн. Он устанавливает требования к защите ПДн при их обработке в ИСПДн и уровни защищенности таких данных.
Посмотрим на документ внимательнее, и постараемся понять, что операторы ПДн должны изменить/доработать в своей СЗПДн.
Вот основные моменты:

  1. Документ признает утратившим силу постановление №781. Соответственно его требования можем уже не выполнять. А значит и статус приказа 55/86/20, приказа ФСТЭК России №58 и документов по криптографии в ИСПДн от ФСБ России сейчас находятся «в подвешенном» состоянии…
  2. Основной акцент документа сделан на требования по нейтрализация АКТУАЛЬНЫХ угроз ПДн. В документе дано достаточно противоречивое определение («Под актуальными угрозами безопасности ПДн понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к ПДн при их обработке в ИСПДн, результатом которого могут стать … «), претензии к которому идут из-за наличия ссылки на случайный доступ.
    Вообще, складывается ситуация, при которой «игры» с моделью угроз будут давать свои плоды в виде снижения перечня требований к ИСПДн. Получается если смотреть с точки зрения здравого смысла, то АУ1 и АУ2 (актуальные угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном ПО соответственно) будут присутствовать почти во всех ИСПДн (конечно если вы не проведете оценку на НДВ ВСЕ прикладное и системное ПО). При этом оператор проводит оценку с учетом возможного вреда для субъекта, а значит может сделать не верный, но подходящий под нормы ПП1119 вывод о том, что АУ типа 3, т.к. вред/ущерб минимальный.
  3. Безопасность ПДн обеспечивает Оператор или уполномоченное лицо (полномочия на обработку ПДн по поручению). Решение по передаче функций защиты ПДн на аутсорсинг вполне может быть обосновано для многих Операторов, однако, они действуют в правовом поле связанном с поручением оператора на обработку, со всеми вытекающими отсюда требованиями…
  4. Выбор СЗИ для СЗПДн в соответствии с нормативными правовыми актами ФСБ России и ФСТЭК России. Это ожидаемо, однако, обратите внимание, что в этой версии документа про эти спецслужбы написано всего 1 раз и про ФСБ России написано первой, в то время как в ПП781 они упоминаются чаще, но с акцентом на ФСТЭК России. Перетягивание одеяла? Кстати, ожидаем новые документы…
  5. Выделяется несколько типов ИСПДн по типу ПДн и по типу субъектов ПДн. В целом понятно и удобно работать с ними. 1я классификаця предполагает выделение:
  • ИСПДн, в которой обрабатывающей специальные категории ПДн (информация, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов ПДн). Обратите внимание, хотя этот перечень и совпадает со 152-ФЗ, но в соответствующей статье закона (ст.10 152-ФЗ) присутствует упоминание об информации о судимости и требований к ней, а в ПП 1119 ничего об этом не сказано.
  • ИСПДн, в которой обрабатываются биометрические ПДн. Обратите внимание теперь на два момента:

  • …»если в ней обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личностьи которые используются оператором для установления личности субъектаПДн». Еще один аргумент в пользу того, что фотографии в СКУД не биометрия.
  • «…и не обрабатываются сведения, относящиеся к специальным категориям персональных данных.». Вопрос не самый критичный, но все же. Теперь однозначно видна позиция регуляторов, что спецкатегории ПДн критичнее биометрических ПДн.
  • ИСПДн, в которой обрабатываются общедоступные ИСПДн. Причем основание для общедоступности — получение из общедоступных источников, созданных в соответствии со 152-ФЗ.
  • ИСПДн, в которой обрабатываются иные категории ПДн
    Второй тип классификации предполагает выделение:
  • ИСПДн, в которых обрабатываются ПДн только указанных сотрудников. Закономерный вопрос, «указанных где»? В приказах о приеме на работу? В справочнике сотрудников? Базе данных 1С? Еще одним тонким вопросом может стать договора подряда / ГПХ. Быстро пробежавшись по ТК РФ, я однозначно для себя этот вопрос не решил.
  • ИСПДн, в которой обрабатываются ПДн субъектов, не являющихся сотрудниками оператора.
  • На уровень защищенности ИСПДн влияют тип угроз, перечень ПДн и количество субъектов ПДн. Долго ломал голову, как лучше представить в виде картинки схему классификации, и пришел к такому виду:
    .
    Категория ПДн + кол-во АУ 1 типа АУ 2 типа АУ 3 типа
    Спец.категории ПДнболее чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора 1 1 2
    Спец.категории ПДнсотрудников оператора или специальные категории персональных данных менее чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора 1 2 3
    Биометрические ПДн 1 2 3
    Иные категории ПДнболее чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора 1 2 3
    Иные категории ПДнданных сотрудников оператора или иные категории ПДн менее чем 100000 субъектов ПДн, не являющихся сотрудниками оператора 1 3 4
    Общедоступные ПДнболее чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора 2 2 4
    Общедоступные ПДнсотрудников оператора или общедоступные ПДн менее чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора 2 3 4

    .

  • Перечень требований к уровням защищенности тоже можно представить в таблице. Он очень странный и зачем он такой нужен я понять не могу. Тут есть простые и логичные требования про физическую безопасность и назначение ответственных, так и спорные требования про электронный журнал. Складывается впечатление, что несколько страниц с требованиями потеряны. А если мы вспомним пп781 и п58, то заметим, что в них требований было намного больше
    .
    Требования 1 2 3 4
    Регулярный контроль за выполнением требований Контроль за выполнением настоящих требований организуется и проводится оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанный контроль проводится не реже 1 раза в 3 года в сроки, определяемые оператором (уполномоченным лицом). * * * *
    Физ.безопасность и контроль доступа Организация режима обеспечения безопасности помещений, в которых размещена ИСПДн, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения * * * *
    Безопасность носителей Обеспечение сохранности носителей персональных данных * * * *
    Перечень допущенных лиц Утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей * * * *
    Сертифицированные СЗИ Использование СЗИ, прошедших процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз * * * *
    Назначение ответственного за безопасность ПДн Назначение должностного лица (работника), ответственного за обеспечение безопасности ПДн в ИСПДн * * *
    Контроль доступа к эл.журналу доступа. Обеспечение доступа к содержанию электронного журнала сообщений исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей * *
    Автоматическая регистрация в эл.журнале доступа Автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к ПДн, содержащимся в ИСПДн *
    Создание структурного подразделения Создание структурного подразделения, ответственного за обеспечение безопасности ПДн в ИСПДн, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности *

    .

  • Из полезного отмечу , что в требованиях появились слова про регулярный контроль (ура, с конкретной периодичностью) с привлечением лицензиатов ФСТЭК России. Пункт очень здравый и полезный. НО, что они сейчас будут проверять? Есть ли приказ о назначении ответственного, или наличие перечня допущенных лиц, или закрываются ли двери в серверную на СКУД? Бред.
  • Итого ждали долго, но получили «смесь ужа с ежом» — «колючую проволоку», которая путает и цепляет специалистов. Другое дело было если бы приняли целый комплект документов, а так получается 1 шаг вперед, 3 шага назад. Глупо и печально.
    Операторам на данный момент рекомендую проверить себя по следующему чек-листу:

    • Разработать/Внедрить если еще не сделали:
      • Определить перечень носителей ПДн и требования по их хранению, использованию, транспортировке и уничтожению.
      • Обеспечить физическую безопасность носителей ПДн и контроль доступа в помещения обработки ПДн. Хорошей практикой является наличие утвержденного списка лиц, допущенных в серверное помещение. Иногда регуляторы еще и спрашивают про перечень лиц, допущенных во все помещения, где производится обработка ПДн, но, на мой взгляд, это излишне.
      • Назначить должностное лицо (работника), ответственного за обеспечение безопасности ПДн в ИСПДн. Обратите внимание, что, как я писал ранее , надо различать ответственного за обработку и за обеспечение безопасности ПДн.
      • Внести правки в положение о структурном подразделении, ответственного за обеспечение безопасностиПДн.
      • Разработать и утвердить перечень лиц, допущенных к обработке ПДн.
      • Для СЗПДн использовать СЗИ, прошедшие процедуру оценки соответствия.
      • Определить процедуру регулярных проверок выполнения требований к СЗПДн (процедура внутреннего контроля).
    • Пересмотреть/Доработать с учетом новых данных (сделать, если еще не сделали):
      • Пересмотреть протокол возможного ущерба субъектам ПДн.
      • Пересмотреть и обновить Акты классификации ИСПДн с учетом уровней защищенности.
    • Быть готовым к пересмотру и доработке
      • Быть готовым к пересмотру модели угроз ИСПДн.
      • Быть готовым к пересмотру всей СЗПДн и закупке новых СЗИ.
      • Начать думать об электронном журнале (что это и какие технологии используются) и обеспечить его безопасность :)))

    Добавить комментарий

    Ваш e-mail не будет опубликован. Обязательные поля помечены *